LX

Cargando...

LEXIS Blog

Priscilla Merino
Autor
Priscilla Merino
Abogada y Licenciada en Administración de Empresas. Especialista en protección de datos y resolución de controversias. Máster en Derecho Procesal, Experta en RGPD e Implementadora ISO 29100. Litiga en derecho civil, comercial y constitucional.

Protección de datos personales en Ecuador: avances, desafíos y debates actuales

lunes, 12 de mayo de 2025
10 min de lectura

La protección de datos personales ha cobrado una relevancia creciente en Ecuador, especialmente tras la entrada en vigencia de la Ley Orgánica de Protección de Datos Personales (en adelante “LOPDP”) el 26 de mayo de 2021. A casi cuatro años de su implementación, esta normativa plantea importantes interrogantes sobre los límites del tratamiento de la información personal, el papel del consentimiento, y la protección reforzada de datos sensibles. Este artículo analiza los principales retos que enfrenta su aplicación, así como las discusiones actuales sobre el uso de datos biométricos en contextos laborales, a la luz de criterios técnicos y jurídicos.

Uno de los aspectos más relevantes de esta norma es el catálogo de derechos que reconoce. Según la LOPDP, estos deben ejercerse de forma gratuita y permiten a las personas tomar decisiones individuales sobre la información que terceros manejan sobre ellas, especialmente cuando se trata de datos cuyo tratamiento puede implicar un riesgo elevado para la privacidad, como ocurre con los datos sensibles.

Además, la introducción de un régimen sancionador generó gran impacto, pues no solo puso en alerta a muchas organizaciones ante el riesgo de sanciones por incumplimiento, también trajo un alivio para los titulares que durante años reclamábamos un sistema legal más sólido para la tutela del derecho a la intimidad frente a constantes violaciones de privacidad, como, por ejemplo, aquellos contactos no deseados, filtraciones de imágenes y videos y otras violaciones a las que, tristemente, estamos acostumbrados.
                                             
El derecho a la intimidad es un derecho fundamental reconocido en el artículo 12 de la Declaración Universal de los Derechos Humanos, el cual establece que "nadie será objeto de injerencias arbitrarias en su vida privada (…)”. En el Ecuador, el derecho a la intimidad se menciona por primera vez en el Art. 28 de la Constitución Política de 1967, a decir “4. El derecho a la honra y a la intimidad personal y familiar”.

La Corte Constitucional del Ecuador ha señalado que el derecho a la privacidad se estructura en diferentes esferas de protección. Desde esta perspectiva, su alcance se determina considerando que ciertos aspectos de la vida de una persona solo pueden ser conocidos por terceros si el propio titular así lo consiente (Sentencia No. 791-21-JP/22). Este derecho es esencial para el desarrollo de la personalidad y la protección de la dignidad humana, y su satisfacción implica la participación activa de su titular, quien decide sobre el uso y destino de su información personal, es decir, sobre su tratamiento, conforme lo define la ley.

 

 

Las decisiones de los titulares en el tratamiento de datos personales:

Del derecho a la privacidad surgen las regulaciones de protección de datos personales, y el derecho a que la información que identifica a una persona natural esté protegida mediante mecanismos de obligatorio cumplimiento para los responsables del tratamiento —entendidos como cualquier persona que trate datos personales—. Tal como lo señala el Reglamento General de Protección de Datos (RGPD) en su considerando cuarto, la protección de datos no es un derecho absoluto, sino que debe considerarse en relación con su función en la sociedad y aplicarse de manera proporcional.

Esto implica que cualquier uso de los datos personales debe realizarse de forma equilibrada, legal y legítima, prevaleciendo los derechos de los titulares, pero también atendiendo los intereses legítimos en juego. Conforme a la LOPDP, el tratamiento solo es válido en cualquiera de estos ocho escenarios: 

  1. con el consentimiento del titular,

  2. por obligación legal,

  3. por orden judicial,

  4. en ejercicio de poderes públicos,

  5. para la ejecución de un contrato o medidas precontractuales,

  6. para la protección de intereses vitales,

  7. cuando se trate de datos de acceso público o 

  8. para la satisfacción de un interés legítimo del responsable o de un tercero.

     


El tratamiento de datos sensibles:

Como hemos expuesto, el tratamiento de datos debe cumplir dos condiciones esenciales: 

  1. ser legal y 

  2. ser legítimo. 

La legalidad se refiere al cumplimiento de los preceptos establecidos en una norma con rango de ley, mientras que la legitimidad implica que el tratamiento responda a una finalidad concreta, clara y justificada, conforme a los principios de proporcionalidad, minimización (necesidad) y transparencia (lealtad). Es decir, no basta con que exista una base legal -también lo llamaremos “base legitimadora”- para el tratamiento; también debe realizarse de manera ética, respetando los derechos y expectativas razonables de los titulares de los datos.

En este contexto, la LOPDP es específica al distinguir entre las categorías de datos personales. Dentro de esta clasificación establece un régimen de protección reforzada para los denominados datos personales sensibles, cuya naturaleza exige un mayor grado de cautela por parte del responsable del tratamiento. Esta categoría incluye, entre otros, los datos biométricos, y se refiere a aquella información personal cuyo uso indebido puede dar lugar a discriminación o vulnerar derechos y libertades fundamentales.

Los datos biométricos están definidos en la LOPDP como aquellos datos personales relativos a características físicas, fisiológicas o conductuales de una persona natural que permiten o confirman su identificación única. Ejemplos de estos son las imágenes faciales, los datos dactiloscópicos, el reconocimiento de voz, el escaneo de iris o los patrones de marcha.

Al ser los datos biométricos considerados como datos personales sensibles, su tratamiento está, en principio, prohibido por la ley. No obstante, el artículo 26 de la LOPDP establece siete escenarios - bases de legitimación- para su tratamiento: 

  1. cuando exista consentimiento explícito del titular;

  2. por obligaciones o derechos en el ámbito laboral y de seguridad social;

  3. para proteger intereses vitales del titular o de otra persona;

  4. si los datos han sido hechos públicos por el titular;

  5. por orden judicial;

  6. con fines de archivo en interés público, investigación científica o histórica, o fines estadísticos; y

  7. cuando se trate de datos de salud bajo las disposiciones específicas de la LOPDP. 

Como podemos identificar, el consentimiento explícito del titular para el tratamiento de datos personales sensibles -incluidos los biométricos- constituye una de las excepciones que permiten apartarse de la regla general de prohibición establecida por la ley.

 

El consentimiento en el tratamiento de datos personales:

El consentimiento representa la manifestación de voluntad de quien lo expresa. Ha sido tradicionalmente entendido como un requisito para la celebración de actos o negocios jurídicos que implican participación, aceptación y la asunción de obligaciones o derechos.

En el contexto del tratamiento de datos personales, el consentimiento opera como un acto unilateral, mediante el cual el titular autoriza de manera expresa el uso de su información. El Art. 8 de la LOPDP establece las condiciones bajo las cuales el consentimiento se configura como una base legitimadora, definiendo cuatro elementos esenciales: libre, específico, inequívoco e informado. Aunque la norma no enlista expresamente un quinto elemento, el consentimiento posee un carácter revocable, lo que implica que el titular puede retirarlo en cualquier momento sin necesidad de justificación. Para garantizar este derecho, el responsable del tratamiento debe establecer mecanismos que aseguren celeridad, eficiencia, eficacia y gratuidad.

No obstante, fundamentar el tratamiento de datos personales exclusivamente en el consentimiento puede generar dificultades para el responsable, ya que su revocabilidad introduce un margen de incertidumbre jurídica cuando se le emplea como única base legitimadora.

Aun así, en ciertos casos como en el tratamiento de datos sensibles, el consentimiento podría llegar a ser la única base legitimadora disponible para el responsable, salvo que logre justificar el tratamiento conforme a alguna de las seis excepciones, restantes, previstas en el Art. 26 de la LOPDP. Entre ellas se encuentran: 

  1. la necesidad del tratamiento para el cumplimiento de obligaciones laborales y de seguridad social, 

  2. la protección de intereses vitales del titular, 

  3. el tratamiento de datos manifiestamente públicos,

  4. una orden judicial, o 

  5. su utilización para fines de archivo, investigación o estadística.

 

 

Tratamiento de datos biométricos para registrar la jornada laboral:

Para cerrar el presente artículo abordamos un tema ampliamente debatido desde marzo de este año, tras una absolución de consulta con efecto no vinculante emitida por la Superintendencia de Protección de Datos Personales (en adelante “SPDP”).

La SPDP emitió el Oficio N° SPDP-IRD-2025-0031-O, en el que estableció aspectos clave respecto al uso de datos biométricos para el registro de asistencia de trabajadores. En este pronunciamiento sostuvo que: 

  1. no deben emplearse métodos biométricos para el control de asistencias, al considerarlos desproporcionados e impertinentes; 

  2. el consentimiento otorgado por los trabajadores no puede considerarse libre; y 

  3. ninguno de los supuestos del Art. 26 de la LOPDP justificaría dicho tratamiento en el contexto laboral.
     

Posteriormente, la SPDP difundió un boletín de prensa, publicado en la red social LinkedIn, en el que reiteró su postura: “el uso de datos biométricos para el control de asistencia laboral no es procedente ni recomendable. Al ser considerados datos sensibles, requieren un nivel más alto de protección y su tratamiento está prohibido, salvo en los casos excepcionales previstos en el Artículo 26 de la LOPDP. Si bien el consentimiento es una de las bases legitimadoras, en una relación laboral no puede considerarse plenamente libre, debido a la relación asimétrica entre empleador y trabajador.”

La repercusión del pronunciamiento llevó posteriormente a la máxima autoridad de la SPDP a realizar una aclaración pública mediante video. En su declaración precisó que las respuestas de la SPDP no constituyen normas ni prohibiciones generales, que no tienen efectos vinculantes sobre terceros, ni siquiera sobre quien las formula, y que no se ha emitido ningún pronunciamiento técnico que ordene la eliminación de sistemas biométricos existentes ni que prohíba su uso en ámbitos distintos al control de asistencia. No obstante, se reiteró que el tratamiento de datos sensibles requiere justificación suficiente y cumplimiento estricto de los principios de la normativa vigente.

Resulta llamativo que, aunque sus pronunciamientos carezcan de efecto vinculante, la autoridad ecuatoriana adopte una postura según la cual el consentimiento, ampliamente utilizado como base legitimadora para el tratamiento de datos sensibles, no sería válido al no cumplir uno de sus elementos esenciales: la libertad en su otorgamiento. Sin embargo, esta discusión no es nueva en el ámbito de la protección de datos personales. Basta observar el caso de España, donde, aunque previamente no se objetó el uso de datos biométricos para el registro de la jornada laboral, la autoridad de protección de datos modificó su criterio en noviembre de 2023 adoptando una postura más proteccionista y restrictiva (Agencia Española de Protección de Datos, 2023). Este cambio respondió no solo a la naturaleza sensible de los datos recopilados, sino también al respeto y aplicación del principio de minimización del tratamiento, considerando que existen alternativas menos invasivas para el control de asistencia laboral.

Como podemos ver, el objetivo de las autoridades nacionales es proteger al actor más importante dentro de las normas de protección de datos personales: el titular de los datos. No obstante, también debemos ser criteriosos respecto al alcance real de estas líneas de actuación.

Es cierto que un tratamiento inadecuado de datos sensibles como los biométricos puede poner en riesgo a los titulares. Sin embargo, no debe ignorarse que en el contexto del control de asistencia laboral, serían los titulares quienes pueden tener un interés directo en gestionar sus registros mediante un sistema moderno, amigable y eficiente, como lo es el uso de biométricos. A diferencia de métodos convencionales -como tarjetas de proximidad o códigos de ingreso-, los sistemas biométricos bien implementados son menos susceptibles a suplantaciones de identidad, siempre que cuenten con los mecanismos de seguridad adecuados.
 

 

Conclusiones:

La esencia del derecho a la privacidad surge del mismo desarrollo tecnológico. De hecho, su origen suele ubicarse en 1890, con la publicación del artículo “The Right to Privacy” de Warren y Brandeis en la Universidad de Harvard, donde, para la época, se aludía a la modernidad y a la necesidad de proteger a los ciudadanos no solo en sus derechos patrimoniales, sino también en sus derechos intangibles, como la privacidad. En ese contexto, se reivindicaba el derecho a no ser molestado, en respuesta a la creciente expansión de la prensa escrita, que, según las autoridades, había permitido que “las fotografías instantáneas y la empresa periodística han invadido los recintos sagrados de la vida privada y doméstica”.

Para finalizar, es importante aclarar que dentro de esta materia existen mecanismos de rendición de cuentas, prevención y evaluaciones de riesgo que pueden permitir a los responsables justificar ante la autoridad de protección de datos la pertinencia del uso de biométricos como medio adecuado para el registro de la jornada laboral. En este proceso, los responsables deben analizar, justificar, evaluar y documentar debidamente la Evaluación de Impacto en la Protección de Datos Personales (en adelante “EIPDP”), considerando el tipo de datos que cada sistema recoge.

Para ello, deben aplicarse los tres juicios esenciales para identificar la proporcionalidad del tratamiento, cuya estructura fue desarrollada en la Sentencia del Tribunal Supremo español, Sala de lo Social, de 2 de febrero de 2017 y que, en este artículo, se adapta al análisis de la cuestión que se discute. Primero, el juicio de idoneidad, que evalúa si la medida es adecuada para alcanzar su objetivo, es decir, garantizar un control de asistencia eficiente. Luego, el juicio de necesidad, que exige verificar si existen alternativas menos intrusivas que permitan cumplir el mismo propósito sin comprometer la privacidad de los trabajadores. Finalmente, el juicio de proporcionalidad en sentido estricto, que analiza si los beneficios obtenidos mediante el uso de biométricos superan los posibles perjuicios, asegurando que el tratamiento sea equilibrado y respetuoso con los derechos fundamentales.

Estos tres juicios representan solo una parte del análisis que debe realizarse en el marco de una EIPDP, utilizando la metodología que el responsable considere más adecuada. Este proceso debe integrar otros criterios fundamentales, como la identificación de riesgos, las medidas de mitigación y el cumplimiento de los principios de protección de datos, asegurando que el tratamiento sea proporcional, legítimo y transparente.

En definitiva, el equilibrio entre innovación tecnológica, control de la jornada laboral y respeto al derecho fundamental a la privacidad dependerá de la capacidad de las organizaciones para justificar sus decisiones, asumir responsabilidades y garantizar el respeto efectivo de los derechos de los titulares.
 

Bibliografía:

Ecuador. (2021). Ley Orgánica de Protección de Datos Personales. Registro Oficial Suplemento No. 459, 26 de mayo de 2021.

Warren, S., & Brandeis, L. (1890). The Right to Privacy. EE. UU. Recuperado de:  https://groups.csail.mit.edu/mac/classes/6.805/articles/privacy/Privacy_brand_warr2.html?utm_source=chatgpt.com 

Superintendencia de Protección de Datos Personales. (abril, 2025). Boletín de prensa: Uso de datos biométricos para registro de asistencia laboral. Recuperado de: https://www.linkedin.com/posts/superintendencia-de-protección-de-datos-personales_spdp-protecciaejndedatos-biometraeda-activity-7310378030139363328-n2JW/?utm_source=share&utm_medium=member_desktop&rcm=ACoAABH73LsBLr9_Fngu1hO1A8alktiGdgnm_dk 

Constitución Política del Ecuador (1967). Decreto Legislativo - Registro Oficial 133, 25 de mayo de 1967.

Naciones Unidas. (1948). Declaración Universal de los Derechos Humanos. Artículo 12. Recuperado de:  https://news.un.org/es/story/2018/11/1446671 

Corte Constitucional del Ecuador. (2022). Sentencia No. 791-21-JP/22, Caso No. 791-21-JP. Recuperado de:  https://esacc.corteconstitucional.gob.ec/storage/api/v1/10_DWL_FL/e2NhcnBldGE6J3RyYW1pdGUnLCB1dWlkOidjY2FjZTBkYy1mMmNhLTRkMWUtOWJjZC00YjY4YTgwNjY0OWUucGRmJ30= 

Tribunal Supremo de España. (2017). Sentencia del Tribunal Supremo, Sala de lo Social, de 2 de febrero de 2017. Recuperado de:  https://www.poderjudicial.es/search/contenidos.action?action=contentpdf&databasematch=TS&reference=7958146&links=%22554%2F2016%22&optimize=20170313&publicinterface=true 

Unión Europea. (2016). Reglamento General de Protección de Datos (RGPD), considerando 4. Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo. 

Agencia Española de Protección de Datos (AEPD). (2023, noviembre 23). La AEPD publica una guía sobre la utilización de datos biométricos para el control de presencia y acceso. https://www.aepd.es/prensa-y-comunicacion/notas-de-prensa/la-aepd-publica-una-guia-sobre-la-utilizacion-de-datos 
 

Compartir Blog
Artículos populares